I.GIỚI THIỆU

Được thành lập vào năm 2001, Công viên phần mềm Quang Trung (CVPMQT) là một trong những dự án trọng điểm cho kế hoạch phát triển của thành phố Hồ Chí Minh(TP.HCM). QTSC – Công ty MTV phát triển Công viên Phần mềm Quang Trung chuyên cung cấp dịch vụ cho toàn bộ Công viên Phần mềm Quang Trung và cung cấp giải pháp hosting cho toàn bộ sở ban ngành của thành phố Hồ Chí Minh và các doanh nghiệp lớn. CVPMQT không ngừng hoàn thiện và cải tiến các quy trình tổ chức quản lý và cung cấp các dịch vụ theo tiêu chuẩn ISO 9001:2000, hệ thống an ninh thông tin cũng đáp ứng các yêu cầu theo tiêu chuẩn IEC 27000: 2005 nhằm vươn tới hội nhập các tiêu chuẩn tiên tiến trên thế giới. Đưa CVPMQT phát triển toàn diện hướng tới 3 mục tiêu chính:


II.THÁCH THỨC - YÊU CẦU DỰ ÁN

Thách thức

- Theo thời gian phát triển cho đến nay, hệ thống của QTSC đã phát triển một cách nhanh chóng. Số lượng các thiết bị mạng, các máy chủ tăng lên nhanh chóng, với mục đích trở thành ISP lớn có khả năng cung cấp cơ sở hạ tầng mạng cho toàn thể khuôn viên khu công viên phần mềm Quang Trung và các sở ban ngành khác trong thành phố. Trong xu hướng phát triển mạnh mẽ như vậy, thì một câu hỏi được đặt ra đó là “làm thế nào có thể quản lý tình hình an ninh trong hệ thống lớn như vậy một cách hiệu quả nhất, tiết kiệm thời gian và chi phí nhất?”

- Hệ thống hiện tại của QTSC đã được trang bị rất nhiều hệ thống an ninh thông tin như hệ thống tường lửa,hệ thống phát hiện xâm nhập, hệ thống cảnh báo tấn công cùng các hệ thống giám sát bảo mật chuyên dụng. Với mỗi thiết bị cũng như mỗi máy chủ trong hệ thống mạng đều được quản lý tình trạng hoạt động thông hệ thống tập tin log của từng thiết bị, với dữ liệu log này ngoài việc quản lý được trạng thái của hệ thống, người quản trị còn có thể phân tích để tìm ra được phương hướng, cách thức phát động một cuộc tấn công vào hệ thống, cũng như hệ thống log có thể cung cấp khả năng phục vụ cho quá trình hậu kiểm. 

- Tuy nhiên việc phân tích và khai thác tối đa dữ liệu log trong hệ thống là một vấn đề không đơn giản, đòi hỏi người quản trị tổng quát phải có hiểu biết cực kỳ tốt về cả network, thiết bị và cả các vấn đề về bảo mật. Do đó, với vai trò một nhà cung cấp dịch vụ lớn, QTSC mong muốn trang bị một giải pháp bảo mật đặc thù chuyên dụng cho việc quản lý toàn bộ hệ thống log nhằm nâng cao mức độ an toàn, và khả năng cảnh báo từ các cuộc tấn công đa dạng và phức tạp vào hệ thống của QTSC.

Yêu cầu

- Sau thời gian tìm hiểu và thực hiện POC với các giải pháp khác nhau, ban lãnh đạo QTSC đã chọn giải pháp quản lý sự kiện (Security Information and Event Management – SIEM) để giải quyết những nhu cầu ở trên, với giải pháp của hãng Arcsight.

- Qua quá trình khảo sát, giải pháp giám sát an ninh toàn diện triển khai cho hệ thống CNTT tại QTSC cần phải đạt được các mục tiêu cơ bản sau:

+ Giám sát hệ thống CNTT một cách toàn diện, từ các thành phần hạ tầng CNTT đến hệ thống ứng dụng, dịch vụ trực tuyến.
+ Hệ thống giám sát phải được quản trị tập trung, giúp người quản lý có một bức tranh toàn cảnh về tình hình an toàn thông tin trong cả hệ thống.
+ Hệ thống giám sát phải cung cấp các cảnh báo theo thời gian thực bất cứ khi nào có các sự kiện có khả năng ảnh hưởng đến an toàn thông tin của hệ thống.
+ Hệ thống giám sát phải cung cấp được các báo cáo về tình trạng an ninh hệ thống phục vụ công tác quản lý, hoạch định chính sách cũng như chứng minh sự tuân thủ các tiêu chuẩn bảo mật trong nước và thông lệ quốc tế.

III.GIẢI PHÁP

Giải pháp quản lý sự kiện tập trung SIEM bao gồm những thành phần sau:

- Thiết bị thu nhận sự kiện – Arcsight Connector:là thiết bị thu thập log từ các thiết bị trong hệ thống ArcSight Connector Appliance là tổng hợp nhiều SmartConnector được nhà sản xuất tích hợp sẵn nhằm nâng cao hiệu quả, sự tiện lợi và nâng cao mức độ an toàn trong quá trình sử dụng. Connector Appli ance sử dụng hệ điều hành CenOS được cứng hóa (hardening), và cho phép người quản trị kết nối an toàn thông qua SSL. ArcSight Connector Appliance thiết bị trung tâm trong việc: quản lý, cập nhật, cấu hình và điều khiển các SmartConnectors.

- Thiết bị lưu trữ sự kiện – Arcsight Logger: là thiết bị lưu trữ tất cả các sự kiện thu thập được từ hệ thống.

- Thiết bị phân tích sự kiện – Arcsight Express: là thiết bị được thiết kế nhằm mục đích: phân tích an ninh, hoạt động và quản lý các thành phần nhằm bảo vệ cho các tổ chức ArcSight Express là một thiết bị độc lập, được tích hợp các công cụ, các tính năng và các chức năng để:

-  Tổng hợp các thông tin rời rạc từ các sự kiện gửi về từ  nhiều nguồn khác nhau.

-  Thực hiện phân tích  tính tương quan của thông tin sau đó chỉ ra các thông tin cần thiết quan trọng từ  hang triệu thông tin ban đầu.

-  Giúp các tổ chức theo dõi được các rủi ro.

-  Giảm thiểu thời gian phản ứng và thiệt hại cho các tổ chức trước những rủi ro.

-  Lưu trữ và tìm kiếm thông tin hiệu quả.

-  Khả năng kết hợp nhanh chóng và đưa ra nguồn gốc, bản chất của vấn đề.

-  Khả năng tạo báo cáo tự động và linh hoạt đối với bất kỳ sự kiện an ninh nào, đồng thời tuân thủ cả MSSP và yêu cầu từ phía khách hàng.

-  Đáp ứng tính sẵn sàng và mở rộng hệ thống khi khách hàng có nhu cầu.

-  Quản lý hiệu quả và khả năng tùy biến của hệ thống cho phép duy trì tính sẵn sàng cao.

-  Với những khảo sát trên hệ thống của QTSC, HPT đề xuất mô hình giải pháp như sau:

Những chức năng nổi bật của hệ thống phân tích sự kiện Arcsight:

- Phân tách (log parsing): Hệ thống QTSC bao gồm nhiều hệ thống khác nhau do vậy thành phần thu nhận dữ liệu phải có khả năng thu nhận được nhiều thiết bị, hệ thống. Cụ thể thành phần thu nhận log/event phải tích hợp nhiều công nghệ như: cho phép thu nhận log/events, log forwarding, log parsing, có thể tích hợp lên thiết bị, SNMP, Syslog…

- Lọc các sự kiện (Event filtering): Thành phần thu nhận dữ liệu phải cho phép cấu hình lọc các sự kiện nhằm mục đích tập trung vào các sự kiện mà QTSC quan tâm, tiết kiệm dung lượng lưu trữ thông qua các tham số cụ thể. Tính năng quan trọng này sẽ đánh giá mức độ linh họat cũng như độ thông minh của giải pháp.

- Hợp nhất các sự kiện: Thành phần thu nhận dữ liệu phải cung cấp khả năng hợp nhất các sự kiện an ninh có đặc điểm giống nhau thành một sự kiện an ninh. Thành phần thu nhận dữ liệu sẽ căn cứ vào giá trị các trường trong các sự kiện an ninh để quyết định hợp nhất các sự kiện. Trên thành phần thu thu nhận log/events phải cho phép tùy biến cấu hình các điều kiện để thành phần thu thập dữ liệu hợp nhất các sự kiện. Việc này giúp QTSC giảm thiểu số sự kiện gửi về thành phần thành phần phân tích, tiết kiệm dung lượng lưu trữ, nâng cao khả năng phân tích và xử lý của thành phần phân tích.

- Tích hợp hệ thống Active Directories: Người dùng trong QTSC được quản lý thông qua AD để nâng cao khả năng theo dõi, kiểm soát đối với người dùng. QTSC yêu cầu hệ thống phải có khả năng tích hợp với AD. Hệ thống AD sẽ thu nhận và phân tích log/events gửi từ hệ thống AD, sau đó đưa ra các cảnh báo cho người quản trị. Hệ thống giám sát phải có khả năng đưa ra được các cảnh báo như: hành động đăng nhập, hành động quản lý người dùng, hoạt động thay đổi chính sách…

- Hỗ trợ các Phương thức lấy log: Đáp ứng yêu cầu thu thập log/events từ nhiều nguồn khác nhau bao gồm: các hệ thống security (Firewall, IPS, Antivius), các hệ thống Network (Router, Cisco), Database, Server… Do vậy thành phần thu thận phải có khả năng thu nhận log/events theo hai cơ chế Push, Pull.

- Thiết lập ngưỡng Bandwidth cho việc gửi log về thiết bị lưu trữ log: Do đặc thù của QTSC là nhà doanh nghiệp lớn, hệ thống mạng luôn luôn phải đảm bảo tính sẵn sàng cao và tránh các nguy cơ tràn sự kiện (events  ood) như worm outbreaks, DOS attacks… Do vậy đáp ứng yêu cầu giải pháp cung cấp phải có khả năng kiểm soát được băng thông sử dụng trong quá trình truyền, nhận log/events. Ngoài ra phải cho phép cấu hình tùy chỉnh lượng băng thông sử dụng cũng như hỗ trợ các giao diện mạng theo các chuẩn khác nhau để có thể tối đa được băng thông sử dụng. Các thành phần trong hệ thống khi kết nối phải cung cấp thêm khả năng caching để 
đảm bảo không xẩy ra tình trạng nghẽn mạng. 

- Cảnh báo theo thời gian thực (Real time alert):Đáp ứng yêu cầu hệ thống phải có khả năng đưa ra cảnh báo đến người quản trị theo thời gian thực nhằm hạn chế tối đa rủi ro xảy ra trong hệ thống. Gửi cảnh báo theo thời gian thực theo nhiều phương thức khác nhau: SMS, Email, SNMP, Console.

- Có khả năng đặt Schedule hoặc Cache cho việc gửi log về thiết bị lưu trữ log tập trung: Để tránh tìnhtrạng mất dữ liệu (log/events) nếu kết nối giữa các thành phần trong giải pháp bị nghẽn hoặc đứt trong quá trình hoạt động. Đáp ứng yêu cầu các giải pháp phải cung cấp khả năng caching log/events, cấu hình truyền log/events theo thời gian hoặc theo mức độ an ninh. Giải pháp phải cho phép cấu hình tùy biến dung lượng caching và gửi cảnh báo đến cho người quản trị thông báo tình trạng caching.

- Tích hợp các công cụ cho phép tùy biến truy vấn log: Để nâng cao khả năng tìm kiếm log đáp ứng yêu cầu giải pháp phải cung cấp các công cụ cho phép tùy biến truy vấn log. Các công cụ đó có thể được tích hợp sẵn theo các nhóm đối tượng, hoặc được xây dựng dựa trên các toán tử (AND, OR, XOR) và các tham số. Ngoài ra giải pháp phải cho phép lưu lại các biểu thức tìm kiếm sau khi đã xây dựng.

- Sử dụng các giao thức truyền dẫn tin cậy cho việc gửi log: Quá trình truyền, nhận log/events trong hệ thống của QTSC sẽ được thực hiện trong mạng cục bộ và thông qua đường kết nối WAN… Việc đảm bảo an toàn cho dữ liệu trong khi truyền là rất quan trọng, nó đảm bảo dữ liệu được an toàn, không bị mất mát, thay đổi…gây ảnh hưởng đến kết quả phân tích của hệ thống. Do đó đáp ứng yêu cầu hệ thống phải đảm bảo an toàn cho dữ liệu trong quá trình truyền nhận.

- Sử dụng hàm API để thu thập log từ những hệ thống không hỗ trợ: Đối với các hệ thống hiện tại, nhà cung cấp chưa thể cấu hình thu nhận log/events về theo dạng chuẩn tắc, nhà cung cấp phải hỗ trợ sử dụng hàm API để thu thập log/events hoặc sử dụng một phần mềm của nhà cung cấp đảm bảo thực hiện thành công việc thu nhận log/events từ các hệ thống thống chưa hỗ trợ.

- Phân quyền truy nhập theo vai trò (Role-based access control): Hệ thống SIEM là một hệ thống lớn với đội ngũ vận hành có thể lên đến vài chục người, mỗi người sẽ được phân công và có vai trò khác nhau Do vậy đáp ứng yêu cầu giải pháp phải có khả năng phân quyền truy cập theo vai trò. 

- Có kiến trúc HA, hỗ trợ mô hình DC – DR khi có nhu cầu mở rộng: Hệ thống SIEM là hệ thống quản lý an ninh tập trung cho toàn bộ hệ thống mạng, do vậy vấn đề đảm bảo tính sẵn sàng là cần thiết. Do đó đáp ứng yêu cầu giải pháp cho SIEM phải cung cấp triển khai theo mô hình HA và DC-DR trong tương lai. 

- Lưu trữ tất cả các loại log: log thô, log đã phân tích để đảm bảo tính chính xác của thông tin và phục vụ công tác điều tra nếu có vấn đề xảy ra, QTSC yêu cầu hệ thống phải có khả năng lưu trữ được log/events thô, bênh cạnh log/events sau khi được chuẩn hóa. Việc cấu hình cho phép thực hiện phải linh hoạt mềm dẻo đối với từng hệ thống.

- Nén (Log compression): Hệ thống QTSC có thể có nhu cầu lưu trữ lên tới nhiều Giga log từ các hệ thống gửi về. Như vậy dung lượng lưu trữ sẽ rất lớn, do đó thành phần lưu trữ log/events đáp ứng giải pháp tích hợp khả năng nén, kết hợp với lưu trữ ở chế độ RAID.

- Kiểm tra tính toàn vẹn (Log le integrity check-ing):  Log/events được thu thập có thể bị mất tính toàn vẹn trong quá trình truyền và lưu trữ. Điều này làm cho quá trình phân tích bị sai lệch, mất các thông tin nhạy cảm. Do đó hệ thống thiết kế đảm bảo tính toàn vẹn được kiểm tra theo tiêu chuẩn 800-92 của NIST về việc quản lý log. Việc truy cập của người dùng phải được kiểm soát bởi các chính sách thắt chặt. Hệ thống sử dụng các phương pháp để đảm bảo tính toàn vẹn như: sử dụng tem thời gian, hàm băm SHA.

- Liên kết các sự kiện (Event Correlation): Việc liên kết các sự kiện an ninh cho phép loại bỏ nhiều cảnh báo không chính xác và chỉ ra được điểm mấu chốt của vấn đề mà hệ thống đang phải đối mặt. Trong 1 ngày, hệ thống QTSC sinh ra hàng triệu log/events do vậy việc theo dõi, phân tích và tìm ra vấn đề an ninh đang tồn tại trong hệ thống là việc rất khó khăn. Do vậy giải pháp SIEM đáp ứng khả năng phân tích tính tuơng quan giữa các sự kiện, tiết kiệm thời gian và công sức trong quá trình làm việc.

- Có khả năng phát hiện và cảnh báo về tấn công Zero-day Attack, Low-and-Slow attacks: Hệ thống có khả năng tự động phân tích các mẫu có các đặc điểm như: khó phát hiện, các mẫu đặc biệt, hoặc cần phân tích trong thời gian lâu… Cụ thể là có khả năng phát hiện và cảnh báo về các tấn công như Zero-day Attack, Low-and-Slow attacks. 

- Có khả năng giám sát các user có đặc quyền cao:Giải pháp SIEM phải cho phép giám sát những người dùng có đặc quyền cao trong hệ thống SIEM. Điều này cho phép QTSC kiểm soát được toàn bộ hoạt động của đội ngũ quản trị, đồng thời lấy đó làm cơ sở để khắc phục các vấn đề sinh ra nếu có từ hoạt động này. Giải pháp SIEM có khả năng giám sát theo thời gian thực các hành động như: quá trình đăng nhập, cấu hình chính sách, thay đổi các đối tượng trong hệ thống SIEM (rules, dashboard, user, database…).      

-   Có khả năng tạo các báo cáo theo chuẩn ISMS, PCI, SOX: Khi trang bị thêm các module hỗ trợ báo cáo, chức năng tạo báo cáo cho phép thống kê, nắm được tình hình an ninh của hệ thống. Do vậy ngoài các báo cáo được tích hợp sẵn trong giải pháp. Hệ thống có thể đáp ứng tạo báo cáo theo các tiêu chuẩn như: PCI, SOX, ISO/IEC 27002:2005, NIST 800-53.

- Lập lịch cho các loại báo cáo: Việc lập lịch báo cáo cho phép QTSC tiết kiệm thời gian trong quá trình vận hành, cũng như đảm bảo không bị thiếu các báo cáo cần thiết của hệ thống. Do vậy giải pháp SIEM hỗ trợ việc lập lịch tạo báo cáo với một lượng thời gian bất kỳ.

- Đưa ra các cảnh báo về các vi phạm các tiêu chuẩn ISMS, PCI nếu có trang bị module ISMS, PCI: Giải pháp cho phép QTSC kiểm soát, đánh giá tình hình an ninh trong hệ thống theo các tiêu chuẩn này, bao gồm cả việc đưa ra cảnh báo về các vi phạm các tiêu chuẩn.

- Cung cấp các giao diện cho việc quản lý phối hợp xử lý các sự kiện: Đây là vấn đề quan trọng khi vận hành hệ thống, các giao diện quản lý cho phép QTSC dễ dàng theo dõi, giám sát, xử lý và tiết kiệm thời gian trong quá trình xử lý sự cố.

- Chuẩn hóa/Phân loại (Log normalization /Categorization): Hiện tại hệ thống QTSC được trang bị rất nhiều các giải pháp, hệ thống cũng như các thành phần khác nhau. Với mỗi một hệ thống lại sinh ra một dạng log/events, điều này gây khó khăn trong quá trình phân tích, khắc phục sự cố… Do vậy đáp ứng yêu cầu giải pháp cho SOC cần phải có khả năng chuẩn hóa và phân loại log/events.

- Có kiến trúc HA, hỗ trợ mô hình DC – DR khi có nhu cầu mở rộng: Hệ thống SIEM là hệ thống quản lý an ninh tập trung cho toàn bộ hệ thống mạng, do vậy vấn đề đảm bảo tính sẵn sàng là cần thiết. Do đó đáp ứng yêu cầu giải pháp cho SIEM phải cung cấp triển khai theo mô hình HA và DC-DR trong tương lai.
Lưu trữ tất cả các loại log: log thô, log đã phân tích để đảm bảo tính chính xác của thông tin và phục vụ công tác điều tra nếu có vấn đề xảy ra, QTSC yêu cầu hệ thống phải có khả năng lưu trữ được log/events thô, bênh cạnh log/events sau khi được chuẩn hóa. Việc cấu hình cho phép thực hiện phải linh hoạt mềm dẻo đối với từng hệ thống.

- Nén (Log compression): Hệ thống QTSC có thể có nhu cầu lưu trữ lên tới nhiều Giga log từ các hệ thống gửi về. Như vậy dung lượng lưu trữ sẽ rất lớn, do đó thành phần lưu trữ log/events đáp ứng giải pháp tích hợp khả năng nén, kết hợp với lưu trữ ở chế độ RAID.

- Kiểm tra tính toàn vẹn (Log file integrity check- ing): Log/events được thu thập có thể bị mất tính toàn vẹn trong quá trình truyền và lưu trữ. Điều này làm cho quá trình phân tích bị sai lệch, mất các thông tin nhạy cảm. Do đó hệ thống thiết kế đảm bảo tính toàn vẹn được kiểm tra theo tiêu chuẩn 800-92 của NIST về việc quản lý log. Việc truy cập của người dùng phải được kiểm soát bởi các chính sách thắt chặt. Hệ thống sử dụng các phương pháp để đảm bảo tính toàn vẹn như: sử dụng tem thời gian, hàm băm SHA.

- Liên kết các sự kiện (Event Correlation): Việc liên kết các sự kiện an ninh cho phép loại bỏ nhiều cảnh báo không chính xác và chỉ ra được điểm mấu chốt của vấn đề mà hệ thống đang phải đối mặt. Trong 1 ngày, hệ thống QTSC sinh ra hàng triệu log/events do vậy việc theo dõi, phân tích và tìm ra vấn đề an ninh đang tồn tại trong hệ thống là việc rất khó khăn. Do vậy giải pháp SIEM đáp ứng khả năng phân tích tính tuơng quan giữa các sự kiện, tiết kiệm thời gian và công sức trong quá trình làm việc.

- Có khả năng phát hiện và cảnh báo về tấn công Zero-day Attack, Low-and-Slow attacks: Hệ thống có khả năng tự động phân tích các mẫu có các đặc điểm như: khó phát hiện, các mẫu đặc biệt, hoặc cần phân tích trong thời gian lâu… Cụ thể là có khả năng phát hiện và cảnh báo về các tấn công như Zero-day Attack, Low-and-Slow attacks.

- Có khả năng giám sát các user có đặc quyền cao:Giải pháp SIEM phải cho phép giám sát những người dùng có đặc quyền cao trong hệ thống SIEM. Điều này cho phép QTSC kiểm soát được toàn bộ hoạt động của đội ngũ quản trị, đồng thời lấy đó làm cơ sở để khắc phục các vấn đề sinh ra nếu có từ hoạt động này. Giải pháp SIEM có khả năng giám sát theo thời gian thực các hành động như: quá trình đăng nhập, cấu hình chính sách, thay đổi các đối tượng trong hệ thống SIEM (rules, dashboard, user, database…).

- Có khả năng tạo các báo cáo theo chuẩn ISMS, PCI SOX: Khi trang bị thêm các module hỗ trợ báo cáo chức năng tạo báo cáo cho phép thống kê, nắm đượ tình hình an ninh của hệ thống. Do vậy ngoài các báo cáo được tích hợp sẵn trong giải pháp. Hệ thống có thể đáp ứng tạo báo cáo theo các tiêu chuẩn như PCI, SOX, ISO/IEC 27002:2005, NIST 800-53.

- Lập lịch cho các loại báo cáo: Việc lập lịch báo cáo cho phép QTSC tiết kiệm thời gian trong quá trình vận hành, cũng như đảm bảo không bị thiếu các báo cáo cần thiết của hệ thống. Do vậy giải pháp SIEM hỗ trợ việc lập lịch tạo báo cáo với một lượng thời gian bất kỳ.

- Đưa ra các cảnh báo về các vi phạm các tiêu chuẩn ISMS, PCI nếu có trang bị module ISMS, PCI: Giải pháp cho phép QTSC kiểm soát, đánh giá tình hình an ninh trong hệ thống theo các tiêu chuẩn này, bao gồm cả việc đưa ra cảnh báo về các vi phạm các tiêu chuẩn.

- Cung cấp các giao diện cho việc quản lý phối hợp xử lý các sự kiện: Đây là vấn đề quan trọng khi vận hành hệ thống, các giao diện quản lý cho phép QTSC dễ dàng theo dõi, giám sát, xử lý và tiết kiệm thời gian trong quá trình xử lý sự cố.

- Cảnh báo tự động bằng email về sự kiến đến nhóm quản trị: Hệ thống phải cung cấp khả năng cảnh báo cho người dùng thông qua: email, SMTP, SNMP và trực tiếp ra giao diện quản trị hoặc gửi thông báo đến từng người hoặc nhóm quản trị.

- Chuẩn hóa/Phân loại (Log normalization /Categorization): Hiện tại hệ thống QTSC được trang bị rất nhiều các giải pháp, hệ thống cũng như các thành phần khác nhau. Với mỗi một hệ thống lại sinh ra một dạng log/events, điều này gây khó khăn trong quá trình phân tích, khắc phục sự cố… Do vậy đáp ứng yêu cầu giải pháp cho SOC cần phải có khả năng chuẩn hóa và phân loại log/events.

IV. LỢI ÍCH MANG LẠI